Steuerberater und Auftragsverarbeitung: zum neuen § 11 StBerG
Geschrieben von Jan Steinbach, veröffentlicht am 13.03.2020Es war lange Zeit umstritten, ob oder inwieweit Steuerberater als Auftragsverarbeiter anzusehen sind. Im Zentrum steht dabei die Frage, ob Steuerberater personenbezogene Daten des Auftraggebers lediglich auf dessen Weisung hin verarbeitet (Art. 4 Nr. 8 und Art. 28 DSGVO) oder ihm eine eigenständige Verarbeitung zuzuschreiben ist, sodass er Verantwortlicher iSd. Art. 4 Nr. 7 DSGVO wäre.
Da in letzterem Fall eine gemeinsame Festlegung der Zwecke und Mittel vorliegt, würde es sich auch nicht um einen Fall der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO handeln, sondern auf jeden Fall um getrennte Verantwortlichkeiten.
Neuregelung und Absicht des Gesetzgebers
Um den Streit beizulegen, verabschiedete der deutsche Gesetzgeber § 11 Abs. 2 Steuerberatungsgesetz (StBerG). Hiernach erfolgt die Verarbeitung ausdrücklich weisungsfrei (§ 11 Abs. 2 Satz 1 StBerG), sodass Steuerberater vollumfänglich als eigenständig Verantwortliche nach Art. 4 Nr. 7 DSGVO anzusehen sind (§ 11 Abs. 2 Satz 2 StBerG). Aus der Gesetzesbegründung ergibt sich, dass erklärtes Ziel des Gesetzgebers die Anpassung an die EU-Datenschutz-Grundverordnung ist:
11 Abs. 2 soll festhalten, dass die Weisungsfreiheit des Steuerberaters „auch für das „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“ [gilt], denn die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen.“ (BT-Drs. 19/14909, S. 59). Hierdurch soll gewährleistet werden, dass die Unabhängigkeit des Steuerberaters gegenüber dem Auftraggeber sichergestellt ist.
Konflikt mit dem Unionsrecht
Wie bereits angezeigt, wird die Tätigkeit des Steuerberaters im Hinblick auf die Einordnung in die Kategorien der DSGVO (Verantwortlichkeit oder Auftragsverarbeitung) bis dato uneinheitlich beantwortet. Teilweise wird vertreten, Steuerberater seien Auftragsverarbeiter, andere Meinungen gehen per se von einer Verantwortlichkeit der Datenverarbeitung aus. Letzterer Ansicht folgt nun auch der Gesetzgeber mit seiner Neuregelung.
Eine verbreitete Gegenansicht (wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink, in: 34. Datenschutz-Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg 2018, S. 57-58) differenziert einzelne Verarbeitungstätigkeiten des Steuerberaters und kommt zu dem Ergebnis, dass zwar Beratungsleistungen als solche in der Eigenverantwortung des Steuerberaters liegen. Nicht so aber die Lohnbuchführung. Diese stelle vielmehr eine Datenverarbeitung im Auftrag des Verantwortlichen dar, sodass ein entsprechender Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden muss. Hierfür sprechen im Wesentlichen drei Gründe:
1. Lohnbuchhaltung als mechanische Tätigkeit
Mag man die drastische Formulierung des BGH auch nicht teilen, so zeigt sich dennoch, dass die Rechtsprechung im Rahmen der Lohnbuchhaltung von einer grundsätzlich anderen Tätigkeit ausgeht, die auch datenschutzrechtlich eine andere Bewertung rechtfertigt.
2. Mangel an Rechtsgrundlagen
Würde die Lohnbuchhaltung eigenverantwortlich erfolgen, wäre eine Rechtsgrundlage sowohl für die Übertragung der Daten vom Auftraggeber auf den Steuerberater als auch für die eigenverantwortliche Verarbeitung durch den Steuerberater erforderlich. Bei den zugrunde liegenden Mitarbeiterdaten handelt es sich aber um personenbezogene Daten, die keiner Vertragspartei zugehören, sodass Art. 6 Abs. 1 S. 1 lit. b) DSGVO ausscheidet. Dieser rechtfertigt eine Verarbeitung der Daten von Betroffenen nur, wenn die betroffene Person auch Vertragspartner ist.
Auch § 11 Abs. 1 S. 1 StBerG erscheint fraglich, da es sich bei der Lohnbuchhaltung eigentlich nicht um Hilfeleistungen in Steuersachen handelt, wie es § 1 StBerG verlangt. Die Auslagerung der Lohnbuchhaltung an einen externen Steuerberater erfolgt regelmäßig aus Praktikabilitätsgründen, sodass es sie auch für das Beschäftigungsverhältnis iSd. § 26 BDSG nicht zwingend erforderlich ist. Im Ergebnis wäre die Annahme eines Auftragsverarbeitungsverhältnisses mithin der rechtssichere Weg.
3. Falscher Anknüpfungspunkt
Schließlich führt die Ansicht des Gesetzgebers zu einer unsachgemäßen Ungleichbehandlung gleichgelagerter Fälle, wenn die Lohnbuchhaltung durch einen Kaufmann vorgenommen wird. Obwohl dieser in der Sache dieselbe Tätigkeit vornimmt wie ein Steuerberater, wäre ein Auftragsverarbeitungsvertrag hier unstreitig erforderlich. Anknüpfungspunkt für die Beurteilung der Frage, ob die Datenverarbeitung eigenverantwortlich oder im Auftrag erfolgt, ist nach den Vorgaben der DSGVO aber sach- und nicht personenbezogen zu bestimmen. So kann dieselbe Person im Hinblick auf eine Verarbeitungstätigkeit eigenverantwortlich handeln, im Hinblick auf eine andere hingegen als Auftragsverarbeiter tätig werden. Wie die Bestimmung von Täterschaft und Teilnahme im Strafrecht, ist die Bestimmung zwischen Art. 4 Nr. 7 oder 8 DSGVO mithin teilbar. Dies entspricht zudem der Dynamik des grundsätzlich funktionalen Ansatzes der DSGVO.
Fazit und Konsequenzen für die Praxis
Die Neuregelung des Gesetzgebers ist zwar gut gemeint, doch damit lange noch nicht gut gemacht. Für den Rechtsanwender ist für die Rechtssicherheit zumindest nichts gewonnen. Da die europarechtlichen Begriffe der Verantwortlichkeit und Auftragsverarbeitung autonom durch das Europarecht bestimmt werden, handelt es sich bei der Festlegung durch den deutschen Gesetzgeber um unionsrechtswidriges Recht. Insofern genießt die DSGVO nach Art. 288 Abs. 2 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) weiterhin Anwendungsvorrang, sodass nach Ansicht des EuGHs auch die nationalen Datenschutzbehörden befugt sind, die Regelung nicht anzuwenden (vgl. Lauck, in: ZD-Aktuell 2020, 06965).
Mangels evidenter Unionsrechtswidrigkeit empfiehlt es sich dennoch, der Ansicht des Gesetzgebers zu folgen und sämtliche Tätigkeiten eines Steuerberaters als eigenverantwortliche Datenverarbeitung zu behandeln. Angesichts der dem deutschen Gesetzgebers zuzurechnenden rechtsunsicheren Situation, sollte jede Verhängung einer Geldbuße nach den Art. 83 f. DSGVO unverhältnismäßig sein.
Sollten Sie Fragen zur datenschutzkonformen Umsetzung Ihrer Lohnbuchhaltung haben, können Sie sich gerne an uns wenden.